¿Está su hogar inteligente en riesgo de vulnerabilidades de Internet de las cosas?
El Internet de las cosas es muy prometedor. Todos los dispositivos con los que interactuamos conectan en red en alguna capacidad, brindando tecnología doméstica inteligente y barata a todos. Esta es solo una de las posibilidades. Bueno, desafortunadamente, tan emocionante como suena un mundo en red, el Internet de las cosas es constante y lamentablemente inseguro..
Un grupo de investigadores de seguridad de la Universidad de Princeton sostienen que el Internet de las cosas es asi que lamentablemente inseguro de que incluso el tráfico de red encriptado es fácilmente reconocible ¿Cómo funciona el cifrado, y es realmente seguro? ¿Cómo funciona el cifrado, y es realmente seguro? Lee mas .
¿Hay sustancia en su reclamo, o es otra “estándar” IoT hit-piece? Vamos a ver.
Horneado en
El problema es que los dispositivos individuales tienen perfiles de seguridad individuales. Y algunos ajustes de seguridad vienen al dispositivo. Esto significa que los usuarios finales no pueden cambiar la configuración de seguridad.
Configuraciones que son las mismas para miles de productos coincidentes..
Puede ver el problema de la seguridad masiva por lo que el Internet de las cosas es la mayor pesadilla de la seguridad Por qué el Internet de las cosas es la mayor pesadilla de la seguridad Un día, llega a casa del trabajo para descubrir que su sistema de seguridad residencial habilitado para la nube ha sido violado . ¿Cómo pudo pasar esto? Con Internet of Things (IoT), puedes descubrirlo de la manera más difícil. Lee mas .
Combinado con un malentendido general (o ¿es pura ignorancia?) Sobre lo fácil que es apropiarse de un dispositivo de IoT para actividades infames, y hay un problema real y global a la mano.
Por ejemplo, un investigador de seguridad, al hablar con Brian Krebs, dijo que habían presenciado enrutadores de Internet mal asegurados que se usaban como proxies SOCKS, anunciados abiertamente. Especularon que sería fácil utilizar cámaras web basadas en Internet y otros dispositivos de IoT para el mismo y para otros propósitos..
Y tenían razón.
El final de 2016 vio un masivo Ataque DDoS. “Masivo,” ¿tu dices? Sí: 650 Gbps (Eso es alrededor de 81 GB / s). Los investigadores de seguridad de Imperva que detectaron el ataque observaron a través del análisis de la carga útil que la mayoría de la energía provenía de dispositivos IoT comprometidos. Apodado “Leet” después de una cadena de caracteres en la carga útil Así es como funcionan los instaladores de software en Windows, macOS y Linux Así es como funcionan los instaladores de software en Windows, macOS y Linux Los sistemas operativos modernos le brindan métodos fáciles para configurar nuevas aplicaciones. Pero, ¿qué sucede realmente cuando ejecuta ese instalador o emite ese comando? Leer más, es la primera red de bots de IoT que compite con Mirai (la enorme red de bots que se dirigió al famoso investigador y periodista de seguridad, Brian Krebs).
Olfateando IoT
El trabajo de investigación de Princeton, titulado Una casa inteligente no es un castillo [PDF], explora la idea de que “Los observadores pasivos de la red, como los proveedores de servicios de Internet, podrían analizar el tráfico de la red de IoT para inferir detalles confidenciales sobre los usuarios..” Los investigadores Noah Apthorpe, Dillon Reisman y Nick Feamster observan “un monitor Sense Sleep 6 Gadgets inteligentes para ayudarlo a dormir mejor 6 Gadgets inteligentes para ayudarlo a dormir mejor No dormir bien por la noche nunca es una buena manera de comenzar el día. Afortunadamente, hay muchos aparatos para el hogar que pueden ayudarte a dormir bien durante la noche. Lea más, una cámara de seguridad Nest Cam Indoor, un interruptor WeMo y un eco de Amazon.”
Su conclusión? Las huellas de tráfico de cada uno de los dispositivos son reconocibles, incluso cuando están cifradas.
- Nest Cam - El observador puede inferir cuándo un usuario está monitoreando activamente una fuente o cuando una cámara detecta movimiento en su campo de visión.
- Sentido - El observador puede inferir los patrones de sueño del usuario.
- WeMo - El observador puede detectar cuando un dispositivo físico en una casa inteligente se enciende o apaga.
- Eco - El observador puede detectar cuando un usuario está interactuando con un asistente personal inteligente.
Accede a los paquetes
El documento de Princeton supone que un atacante está olfateando (interceptando) paquetes (datos) directamente de un ISP. Su análisis proviene directamente de los metadatos de paquetes: encabezados de paquetes IP, encabezados de paquetes TCP y tasas de envío / recepción. Independientemente del punto de intercepción, si puede acceder a paquetes en transición, puede intentar interpretar los datos.
Los investigadores utilizaron una estrategia de tres pasos para identificar los dispositivos IoT conectados a su red improvisada:
- Tráfico separado en flujos de paquetes.
- Etiqueta de flujos por tipo de dispositivo.
- Examinar las tasas de tráfico.
Esta estrategia reveló que incluso si un dispositivo se comunica con múltiples servicios, un atacante potencial “por lo general, solo es necesario identificar una única secuencia que codifique el estado del dispositivo.” Por ejemplo, la siguiente tabla ilustra las consultas de DNS asociadas con cada flujo, asignadas a un dispositivo en particular.
Los resultados de la investigación se basan en varios supuestos, algunos dispositivos específicos. Los datos del monitor de suspensión Sense suponen que los usuarios “solo deje de usar sus dispositivos inmediatamente antes de dormir, que todos en la casa duerman al mismo tiempo y no compartan sus dispositivos, y que los usuarios no dejen sus otros dispositivos en funcionamiento para realizar tareas o actualizaciones que requieren un uso intensivo de la red mientras duermen.”
Cifrado y Conclusiones
BII estima que para 2020 habrá 24 mil millones de dispositivos IoT en línea. La lista del Proyecto de seguridad de aplicaciones web abiertas (OWASP) de las principales vulnerabilidades de IoT es la siguiente:
- Interfaz web insegura.
- Autenticación / autorización insuficiente.
- Servicios de red inseguros.
- Falta de cifrado de transporte.
- Preocupaciones sobre la privacidad.
- Interfaz de nube insegura.
- Interfaz móvil insegura.
- Configuración de seguridad insuficiente.
- Software / firmware inseguro.
- Pobre seguridad física..
OWASP publicó esa lista en 2014, y no ha visto una actualización desde entonces porque Las vulnerabilidades siguen siendo las mismas.. Y, como informan los investigadores de Princeton, es sorprendente lo fácil que un observador pasivo de la red podría inferir el tráfico de casa inteligente cifrado. ¡No crea en estos 5 mitos sobre el cifrado! ¡No creas estos 5 mitos sobre el cifrado! El cifrado suena complejo, pero es mucho más sencillo de lo que la mayoría piensa. Sin embargo, puede que te sientas un poco demasiado oscuro para utilizar el cifrado, ¡así que vamos a romper algunos mitos de cifrado! Lee mas .
El desafío es implementar soluciones VPN de IoT integradas, o incluso convencer a los fabricantes de dispositivos de IoT de que más seguridad vale la pena (en lugar de una necesidad).
Un paso importante sería hacer una distinción entre los tipos de dispositivos. Algunos dispositivos IoT son inherentemente más sensibles a la privacidad, como un dispositivo médico integrado en lugar de un Amazon Echo. El análisis utilizó solo tasas de envío / recepción de tráfico cifrado para identificar el comportamiento del usuario; no es necesaria una inspección profunda de paquetes. Y mientras que las funciones de seguridad integradas adicionales pueden afectar negativamente el rendimiento del dispositivo IoT, la responsabilidad es de los fabricantes proporcionar algunos apariencia de seguridad para los usuarios finales.
Los dispositivos de IoT son cada vez más generalizados. Las respuestas a las preguntas sobre relaciones de privacidad no están disponibles, y una investigación como esta ilustra perfectamente esas preocupaciones..
¿Ha recibido en su vida dispositivos inteligentes para el hogar y IoT? ¿Tiene alguna preocupación acerca de su privacidad después de haber visto esta investigación? ¿Qué seguridad cree que deberían obligar a los fabricantes a instalar en cada dispositivo? Déjanos saber tus pensamientos abajo!
Explorar más sobre: Internet de las cosas, seguridad en línea.